РБК: ФСБ потребовала у «Яндекса» ключи дешифровки переписки пользователей

Федеральная служба безопасности (ФСБ) запросила у холдинга «Яндекс» ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», но компания отказалась их передать. Об этом сообщает РБК со ссылкой на двух собеседников, близких к «Яндексу», и источник в IT-сфере. В ФСБ и «Яндексе» информацию официально не прокомментировали.

Запрос из ФСБ поступил в «Яндекс» еще несколько месяцев назад, но компания до сих пор не выполнила его, хотя, по «закону Яровой», на это отводится до 10 дней. В ФСБ вопросы журналистов проигнорировали, в пресс-службе интернет-холдинга подчеркнули, что работают в полном соответствии с законодательством, однако от дальнейших комментариев по теме отказались.

За непредоставление данных ФСБ может составить протокол об административном правонарушении и, если суд признает «Яндекс» виновным по статье 13.31 КоАП, компании грозит штраф в размере до миллиона рублей. В случае невыплаты штрафа сервисы «Яндекса» могут заблокировать по аналогии с Telegram.

Известно, что «Яндекс.Почта» и «Яндекс.Диск» находятся в реестре организаторов распространения информации, поэтому ФСБ имеет право запрашивать персональные данные пользователей. По словам экспертов, проблема для «Яндекса» заключается в том, что ведомство «слишком широко трактует» законодательство и требует выдать сессионные ключи, которые защищают информацию в каждом конкретном интернет-соединении с серверами «Яндекса». Эти ключи дают доступ не только к переписке, но и ко всему трафику от пользователей, их метаданным (кто и когда заходит в аккаунт и т. д.), логину и паролю.

Бывший разработчик The Tor Project Леонид Евдокимов пояснил, что сессионный ключ вырабатывается, когда пользователь заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек, если человек либо закроет вкладку «Яндекс.Почта», либо полностью закроет браузер, либо выключит компьютер.

«Сама идея сессионного ключа состоит в том, что он не сохраняется, — добавил Евдокимов. — Тем самым обеспечивается безопасность передачи данных, так как в случае их перехвата злоумышленник не сможет их расшифровать. В этом смысле хранение и передача сессионных ключей создают определенные риски».

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий подтвердил, что передача сессионного ключа ФСБ «может дать доступ к аутентификационным данным пользователя».

Мессенджер Telegram заблокирован в России по решению суда от 13 апреля 2018 года. Создатель мессенджера Павел Дуров отказался предоставить ФСБ ключи шифрования переписки всех пользователей, заявив о незаконности данных требований. При этом компания была готова раскрыть данные конкретных подозреваемых в терроризме (именно этим объясняла свой запрос ФСБ — прим. ТД) по решению суда.

Летом юристы Telegram обратились в Европейский суд по правам человека в связи с решением российского суда. Несмотря на блокировку Роскомнадзором, мессенджер продолжает работать на территории РФ. Из-за попыток Роскомнадзора ограничить деятельность Telegram пострадали миллионы сайтов сторонних организаций, чьи IP-адреса оказались на блокируемых серверах.